Cyberschutz Versicherung

Eine Cyber Versicherung schützt ihren Inhaber vor den Risiken, die mit der Nutzung von IT im Unternehmen oder im Privatbereich verbunden sind. Es geht um das Risiko der Cyberkriminalität, aber auch um Schäden durch Fehlbedienung oder technische Störungen. Die Cyber-Versicherung ist für die Assekuranzen ein relativ junges Geschäftsfeld. Das Bewusstsein für den Bedarf an einer Cyberschutzversicherung ist bei den Kunden und bei den Versicherungsunternehmen erst in den letzten Jahren deutlich gestiegen.

Welche Risiken deckt die Cyberversicherung ab?

Es geht um Cyberrisiken, die als sehr komplex gelten, aber auch um den Schutz vor Datenverlust und Hardwareausfällen. Die Cyberdeckung fungiert daher als Datenschutzversicherung und Internetschutzversicherung gleichermaßen. Cyberrisiken sind begrifflich nicht eindeutig definiert. Zwar ist für viele Unternehmen die Hackerversicherung sehr bedeutsam wegen der zielgerichteten Angriffe auf IT-Systeme und Daten, doch ein Datenverlust entsteht auch durch nachlässiges Verhalten eigener Mitarbeiter und durch Strom- und Internetausfälle, zu seltene Backups und weitere Organisationsmängel. Die am häufigsten genannten Cyberrisiken sind:

  • Datenverlust
  • Hackerangriffe
  • Datenschutzverletzungen
  • Ausspähen von Daten
  • Verletzung geistiger Eigentumsrechte
  • Weitergabe von Geschäftsgeheimnissen
  • Betriebsunterbrechungen durch IT-Ausfälle
  • Erpressungen durch Hacker

Dementsprechend ist die Cyberversicherung für viele Unternehmen bevorzugt eine Data-Risk Versicherung. Es gibt Firmen, die eher selten Hackerangriffe, wohl aber Datenverlust durch Fehlbedienungen zu befürchten haben. Ein Beispiel wäre das nur im Stundentakt durchgeführte Backup, weil das Unternehmen nicht in der Cloud mit ihren sekündlichen Backups arbeiten will. Wenn vor dem Backup am Tagesende eine Festplatte ausfällt, ist der Schaden groß. Hier sollte die Data Projekt Versicherung einspringen. Des Weiteren können extern gelagerte Datenträger durch Unfälle (Brand, Wasser etc.) unbrauchbar werden. Vor diesem Risiko schützt die Datenträgerversicherung. In einer guten Cyber-Versicherung sind die Datenschutz-Versicherung und die Internetschutzversicherung gleichermaßen inkludiert.

Wirtschaftliche Bedeutung der Cyberdeckung

Nicht eingedämmte Cyberrisiken führen vor allem zu Vermögensschäden. Studien des Jahres 2016 beziffern den weltweiten Schaden allein durch Cyberkriminalität – ohne Schäden durch Fehlbedienungen und technische Ausfälle – auf jährlich 330 Milliarden Euro. Dabei nimmt Deutschland eine traurige Vorreiterrolle ein, denn in keinem anderen Staat der Welt soll der Schaden in Relation zur Wirtschaftsleistung derartig hoch ausfallen wie hierzulande. Er beträgt nach Schätzungen 1,6 % unseres Bruttoinlandsproduktes. Exakte Zahlen gibt es nicht, weil vermutlich die größere Zahl der Fälle nicht gemeldet wird. Das liegt daran, dass ein Hackerangriff stets auch einen hohen Reputationsschaden verursacht, Kunden wenden sich von solchen Unternehmen ab. Weitere Schäden betreffen Datenverluste, den Diebstahl von Entwicklungsinformationen und Kundendaten, Produktionsausfälle durch einen Systemabsturz und Erpressungen durch Hacker.

Cyberversicherung

Zur Data-Risk Versicherung ist den Unternehmen in jedem Fall zu raten, denn ihre Systemabhängigkeit steigt. Sie benötigen ständig verfügbare Informationen und eine lückenlose Informationskette zu ihren Dienstleistern, an die sie Aufgaben outsourcen. Prinzipiell schafft die Vernetzung der Unternehmen auch Schwachstellen. Wenn bei einem Logistikdienstleister die Systeme ausfallen, sind mehrere Auftraggeber betroffen. Daher benötigen vernetzte Unternehmen prinzipiell alle eine Datenschutzversicherung.

Der Leistungsumfang von Cyber-Versicherungen

Es gibt auf dem deutschen Markt über 15 Versicherer, die eine Cyberschutzversicherung anbieten, darunter Anbieter wie die Allianz, Axa, ERGO, HDI und Hiscox. Der GDV – Gesamtverband der deutschen Versicherungswirtschaft – hat bislang noch keine Empfehlung dazu ausgesprochen, was die Cyberdeckung leisten soll. In anderen Versicherungsbereichen ist das längst üblich. Die einzelnen Anbieter bauen den Schutz daher modular auf. Er enthält eine Internetschutzversicherung, eine Datenschutzversicherung und möglicherweise noch eine spezielle Hackerversicherung, wenn das Unternehmen gefährdet ist, Opfer gezielter Angriffe zu werden. Das ist keinesfalls bei allen Firmen der Fall. Schützen müssen sich Technologievorreiter, die ständig neue Entwicklungen in der Pipeline haben und gern von Konkurrenten ausgespäht werden.

Die angebotenen Cyberdeckungen sind teilweise vergleichbar, es gibt aber auch grundlegende Unterschiede. Aufgrund der sehr neuen, dabei aber komplexen Risiken haben Versicherungsnehmer und Makler teilweise Schwierigkeiten, die Leistungen einzelner Policen gegeneinander abzuwägen. Auch fehlen Schadenerfahrungen mit den angebotenen Deckungen. Zusätzlich wird von einzelnen Versicherungen der Leistungsfall teilweise unterschiedlich definiert. Dennoch lassen sich typische Leistungsbestandteile von Cyber-Versicherungen ausmachen. Dazu gehören:

  • Eigenschadendeckung
  • Haftpflichtdeckung („Drittschadenversicherung“)
  • Krisenmanagement
  • Datenträgerversicherung
  • Hackerversicherung
  • globale Internetschutzversicherung

Die Eigenschadendeckung beim Cyberschutz

Die Eigenschadendeckung betrifft Fälle, in denen entweder ein technischer Datenverlust eingetreten ist und hierfür die Data Projekt Versicherung aufkommt, oder in denen ein Hacker Entwicklungsinformationen gestohlen hat und das Unternehmen feststellen muss, dass vor der Markteinführung der nächsten, sehr innovativen Produktgeneration die Konkurrenz schneller war – vermutlich mit einer Technologie, die man selbst entwickelt hatte und die der Hacker abgegriffen hat. Dafür sollte bei entsprechendem Nachweis die Hackerschutzversicherung aufkommen. Diese Internetschutzversicherung schließen Unternehmen auch ab, um sich vor erpresserischen Hackerangriffen zu schützen. In Unternehmen können diese so ablaufen, dass der Hacker interne Daten wie die Reisekostenabrechnungen von Vorständen oder Geschäftsstrategien abzieht und damit das Unternehmen erpresst. Viele Unternehmen zahlen das geforderte Lösegeld, weil der Hacker damit droht, sensible Informationen zu veröffentlichen. Wegen dieser umfassenden Schadenszenarien kann eine Cyberversicherung die folgenden Leistungen umfassen:

  • Schadenbeseitigungskosten
  • Kosten für die Datenrekonstruktion
  • Kosten für Reparaturen und/oder Ersatz von Hardware
  • Betriebsunterbrechungsschäden
  • Informationskosten gegenüber Betroffenen beim Verlust personenbezogener Daten
  • Lösegeldzahlungen an Hacker

Betriebsunterbrechungsschäden gelten als sehr relevante Schadenposition, sie können existenzgefährdende Ausmaße erreichen. Wenn ein Onlinehändler nach einer Hackerattacke den Betrieb für mehrere Tage einstellen muss, ist der Schaden hoch. Produzierende Unternehmen oder Dienstleister sind ebenfalls stark betroffen.

Anwendungsbereiche der Cyberversicherung

Die Anwendungsbereiche sind sowohl für eine Internetschutzversicherung als auch für die Datenschutz-Versicherung sehr vielfältig. Im Einzelnen:

  • Onlinehandel: Onlinehändler brauchen eine umfassende Internetschutzversicherung. Vor allem die Hackerversicherung ist für sie wichtig, sie müssen sich vor dem Risiko des Abgreifens von Kunden- und Zahlungsdaten schützen. Die Data-Risk Versicherung ist möglicherweise nicht ganz so bedeutsam, denn die Onlineshop-Softwarelösungen sorgen für eine Datensicherung in der Cloud.
  • Kauf im Internet: Hier geht es um die Internetschutzversicherung für Privatleute. Kreditkarten- oder Bankdaten könnten abgegriffen werden.
  • Identitätsdiebstahl: Die Cyberversicherung kann unter Umständen vor dem Risiko von Identitätsdiebstahl schützen. Dieses Risiko betrifft alle natürlichen und juristischen Personen.
  • Online-Banking: Eigentlich gilt Online-Banking als sehr sicher, jedoch können die Nutzer Opfer von Phishing-Angriffen werden. Es gilt zu prüfen, inwieweit eine Cyberschutzversicherung den entsprechenden Schutz beinhaltet.

Ein wertvoller Baustein in der Cyber-Versicherung wäre die Übernahme der Kosten für eine anwaltliche Beratung. Diese ist bei bestimmten Schadenszenarien wichtig.

Regulierungspraxis in der Cyberversicherung

Wie ein Schaden reguliert wird, gehört zu den Fragestellungen mit der größten Brisanz. Ein Schwerpunkt sind hierbei die Betriebsunterbrechungsschäden. Sollte es einen IT-Schaden geben, gerät das Unternehmen durch den tagelangen Produktionsausfall unter großen wirtschaftlichen Druck. Wie Betriebsunterbrechungsschäden reguliert werden, ist nicht nur bei Cyberversicherung ein Problem, solche Schäden regulieren auch Policen etwa gegen Brände, Stromausfall oder Überspannung, die es schon lange gibt. Es geht immer um den Nachweis des Schadens. Einige Versicherer regeln bereits in den Bedingungen für ihre Cyberpolice die Berechnungsmethoden für den Schaden einer Betriebsunterbrechung, sie sehen im Einzelfall auch Beweiserleichterungen für ihren Versicherungsnehmer vor. Bei anderen Anbietern gibt es solche Regelungen nicht, hier können Konflikte vorprogrammiert sein.

Neben den Betriebsunterbrechungsschäden gibt es noch weitere kritische Positionen wie beispielsweise die Informationskosten im Rahmen der Eigenschadendeckung. Ein Unternehmen ist nach § 42 a BDSG (Bundesdatenschutzgesetz) verpflichtet, bei einem Verlust von personenbezogenen Daten sowohl die zuständige Behörde als auch alle Betroffenen zu unterrichten. Es kann sich manchmal um Millionen von Datensätzen handeln, solche Fälle werden gelegentlich durch die Medien bekannt. Entsprechend hoch fallen die Informationskosten aus. Wer aber die betroffenen Personen oder Partnerunternehmen nicht informiert, muss mit erheblichen Sanktionen rechnen. Daher sollten Interessenten an einer Cyberversicherung unbedingt prüfen, ob dieser Punkt in der Police abgedeckt ist und wie der Versicherer im Schadensfall tatsächlich reguliert.

Die Haftpflichtdeckung der Cyberversicherung

Cyberschäden können auch das Vermögen Dritter betreffen (“Drittschäden”). Daher ist die Haftpflichtdeckung ein wesentlicher Leistungsbestandteil der Cyber-Versicherung. Sie zielt auf das Szenario, dass ein Unternehmen als Versicherungsnehmer mit Schadenersatzforderungen von Kunden oder Partnern konfrontiert wird, weil der eigene Cyberschaden dort ebenfalls einen Vermögensschaden verursacht hat. Das ist am häufigsten nach Hackerangriffen der Fall. Wenn etwa ein Onlinehändler Opfer eines Hackerangriffs wird und aus seiner Datenbank Kreditkartendaten von Kunden gestohlen werden, dürften diese vom betroffenen Händler Schadenersatz verlangen. Sollte beim Onlinehändler ein entsprechendes Datenleck nachweisbar sein, sind die Schadenersatzforderungen berechtigt. Die Internetschutzversicherung des Händlers kann und sollte diesen Schaden übernehmen.

Cyber-Versicherung: weitere Leistungsbestandteile

Datenverluste führen regelmäßig zu schwerwiegenden Reputationsschäden, vor allem beim Verlust der Daten Dritter. Für die Schadensbegrenzung muss das Unternehmen ein bestimmtes Krisenmanagement in Gang setzen, zu dem auch die Pressekommunikation gehört. Diesen Aufwand kann die Cyberversicherung abdecken. Auch Unterstützungsleistungen durch Anwälte, IT-Forensiker und PR-Fachleute sowie die Bereitstellung von zusätzlichen Serverkapazitäten können im Leistungsumfang einer Cyberschutzversicherung enthalten sein.

Ausschlüsse und Grenzen des Deckungsschutzes bei der Cyberversicherung

Die Internetschutzversicherung bietet keine Allgefahrendeckung. Die versicherten Einzelrisiken werden in der Police benannt. Primäre Risikobegrenzungen enthalten die Versicherungsfalldefinitionen. Deckt beispielsweise der Versicherer nur Schäden durch Hackerangriffe ab, dann ist die Data-Risk Versicherung nicht enthalten. Selbst Schadsoftware (“malware“ wie Viren) entstammt nicht unbedingt einem Hackerangriff, sondern wird viral verbreitet und könnte daher nicht versichert sein. Sollte dann auch noch ein mehr oder minder fahrlässiges Fehlverhalten eigener Mitarbeiter nachgewiesen werden, wäre so ein Schaden nicht versichert.

Grundsätzlich enthalten die Cyberbedingungen mehrere Versicherungsfalldefinitionen für die einzelnen Deckungsbereiche, also den Eigenschadenteil, den Haftpflichtteil und die Betriebsunterbrechungsdeckung, außerdem sind die versicherten Risiken unterschiedlich definiert. Das macht die Bedingungen sehr komplex, es kann einen Versicherungsvergleich erschweren. Ausschlüsse kann es für Programmierfehler geben. Wenn Entwicklungsfehler eines Programms erst bei seiner Anwendung auffallen und der Schaden durch einen Systemausfall groß ist, muss die Cyber-Versicherung diesen Schaden nicht unbedingt übernehmen. Hinsichtlich dieser Bedingung unterscheiden sich einzelne Policen, doch einheitlich schließen sie die Übernahme von Schäden aus, die auf fehlenden Aktualisierungsupdates basieren. Diese Updates sind bei manchen, von Viren oft betroffenen Programmen wie Windows unerlässlich. Der Nachweis der Updates ist aber nicht schwer. Es genügt, dass ein Rechner die Updates per Voreinstellung automatisch durchführt. Außerdem ist die Installation einer anerkannten Virenschutzsoftware obligatorisch.

Wie hat sich die Cyberversicherung entwickelt?

Die Datenschutzversicherung gibt es seit Jahrzehnten unter anderem als Baustein für Unternehmensversicherungen. Eine Hackerversicherung als spezielle Internetschutzversicherung ist hingegen jung, die Versicherungsunternehmen reagieren damit auf die zunehmende Internetkriminalität. Die ersten Policen gab es erst in den 2000er Jahren. Nachdem die Fallzahlen der Online-Kriminalität und die verursachten Schäden immer mehr wuchsen, begannen die Versicherungsunternehmen, etwa ab den Jahren 2004 bis 2008 gezielt solche Policen zu konstruieren. Vorreiter waren US-amerikanische Versicherer, bis 2015 verfügten nur wenige deutsche Unternehmen über so eine Versicherung – auch mangels Angebot. Heute, im Frühsommer 2017, hat sich die Situation etwas gebessert, doch immer noch ist die Cyberversicherung für Anbieter und Versicherungsnehmer Neuland.